Un matin, vos fichiers ne s’ouvrent plus, un message de rançon s’affiche, et chaque minute compte. Savoir que faire après un ransomware permet souvent de limiter la casse, d’éviter les mauvaises décisions dans l’urgence et d’augmenter les chances de récupération. À ce stade, le plus gros risque n’est pas seulement le chiffrement des données – c’est aussi une réaction précipitée qui complique ensuite le dépannage.
Que faire après un ransomware dans les premières minutes
La première action est simple : isolez immédiatement l’appareil touché. Déconnectez le câble réseau, coupez le WiFi et retirez tout disque externe ou clé USB encore branchés. Si le poste fait partie d’un réseau d’entreprise, cette étape est prioritaire, car certains ransomwares cherchent à se propager vers les dossiers partagés, les serveurs NAS ou d’autres postes.
Ensuite, évitez d’effacer quoi que ce soit. Beaucoup de personnes veulent lancer un antivirus, formater, redémarrer plusieurs fois ou supprimer les fichiers chiffrés. C’est compréhensible, mais cela peut faire disparaître des éléments utiles au diagnostic, à l’identification de la souche et à une éventuelle restauration. Il faut d’abord stabiliser la situation.
Si plusieurs machines sont concernées, il faut raisonner à l’échelle du site, pas poste par poste. Déconnecter un seul ordinateur ne suffit pas si un partage réseau reste accessible ou si un compte administrateur compromis circule encore dans l’infrastructure.
Faut-il éteindre l’ordinateur ?
Cela dépend. Si le ransomware est encore en train de chiffrer des fichiers de façon visible, arrêter la machine peut limiter les dégâts immédiats. En revanche, si le poste est déjà figé ou si le chiffrement semble terminé, un arrêt brutal peut compliquer certaines analyses. Pour un particulier, couper le réseau est déjà un très bon premier réflexe. Pour une entreprise, mieux vaut faire intervenir rapidement un technicien avant de multiplier les manipulations.
Ce qu’il ne faut surtout pas faire
Le premier piège consiste à payer trop vite. Payer n’offre aucune garantie réelle. Certains groupes fournissent bien une clé, d’autres disparaissent, réclament un second paiement ou laissent des systèmes partiellement inutilisables. Et si des données ont été volées avant le chiffrement, le paiement ne garantit pas non plus leur suppression.
Le deuxième piège est de croire qu’un simple nettoyage antivirus règle le problème. Supprimer le malware actif ne restitue pas automatiquement les fichiers chiffrés, et ne corrige pas forcément la faille d’entrée. Sans analyse de la cause, l’attaque peut revenir.
Le troisième piège est d’utiliser des outils trouvés au hasard. Certains logiciels promettent un déchiffrement miracle et aggravent la situation, notamment lorsqu’ils réécrivent les fichiers ou modifient la structure du disque. En dépannage, la méthode compte autant que l’outil.
Identifier l’attaque avant de lancer une récupération
Tous les ransomwares ne se ressemblent pas. Certains chiffrent localement les fichiers, d’autres s’attaquent aussi aux sauvegardes connectées, d’autres encore volent des données avant de bloquer les systèmes. Le message affiché, l’extension ajoutée aux fichiers, la date d’apparition, les comptes utilisés et les machines touchées donnent déjà des indices utiles.
Cette phase d’identification n’est pas réservée aux grandes entreprises. Même pour un utilisateur à domicile, elle permet de savoir si une restauration est réaliste, si les sauvegardes sont probablement saines et si le poste peut être nettoyé ou doit être réinstallé proprement.
Vérifier l’étendue réelle des dégâts
Avant d’annoncer que tout est perdu, il faut contrôler plusieurs points : les dossiers locaux, les partages réseau, les disques externes, les dossiers synchronisés dans le cloud et les autres ordinateurs du foyer ou du bureau. Il n’est pas rare qu’une attaque paraisse limitée au départ, puis qu’on découvre ensuite des fichiers atteints sur un NAS, un serveur ou un compte utilisateur secondaire.
Dans un contexte professionnel, il faut aussi vérifier les accès distants, les boîtes mail administratives, les comptes VPN et les mots de passe à privilèges. Le ransomware visible n’est parfois que la dernière étape d’une compromission plus large.
Restaurer les données sans aggraver la situation
La vraie question n’est pas seulement de récupérer des fichiers, mais de récupérer des données fiables sur un environnement assaini. Restaurer trop tôt sur une machine encore compromise revient parfois à remettre des fichiers dans un système qui n’est pas sécurisé.
La meilleure option reste la sauvegarde saine, déconnectée ou protégée. Si vous avez une sauvegarde externe non branchée en permanence, ou une sauvegarde cloud avec historique de versions, les chances de reprise sont bien meilleures. Encore faut-il vérifier qu’elle date d’avant l’attaque et qu’elle n’a pas été chiffrée elle aussi.
Quand il n’existe pas de sauvegarde exploitable, il faut examiner les possibilités de récupération au cas par cas. Certaines souches anciennes disposent d’outils de déchiffrement connus. D’autres non. Parfois, la récupération partielle de fichiers non touchés ou de versions précédentes permet déjà de sauver l’essentiel.
Réinstallation ou nettoyage ?
Là encore, tout dépend de l’ampleur de l’incident. Sur un poste isolé, une désinfection poussée peut suffire si la compromission est clairement identifiée. Mais dans bien des cas, la réinstallation complète est la voie la plus sûre, surtout si l’on doute du point d’entrée, des comptes compromis ou de la persistance laissée par l’attaquant.
Pour une petite entreprise, ce choix doit être fait rapidement pour limiter l’arrêt d’activité. Mieux vaut repartir sur une base propre avec récupération des données validées que conserver un système bancal qui retombera en panne quelques jours plus tard.
Après un ransomware, il faut aussi traiter la cause
Chercher seulement à rouvrir les fichiers est une erreur fréquente. Un ransomware arrive rarement par magie. Il profite d’un maillon faible : mot de passe trop simple, accès RDP exposé, pièce jointe malveillante, logiciel non mis à jour, antivirus insuffisant, compte administrateur utilisé au quotidien, sauvegardes mal isolées.
C’est pourquoi que faire après un ransomware ne se limite pas à réparer. Il faut comprendre comment l’attaque est entrée, ce qu’elle a touché, et ce qu’il faut corriger pour éviter une récidive. Changer tous les mots de passe sensibles, activer l’authentification à deux facteurs quand c’est possible, revoir les droits utilisateurs et mettre à jour les systèmes font partie des actions de base.
Pour une entreprise, cette phase inclut souvent l’inventaire des postes, la sécurisation du réseau, la revue des partages, le contrôle des journaux système et la vérification des sauvegardes. Pour un particulier, elle passe surtout par la remise en état du poste, la sécurisation de la messagerie, des comptes cloud et des habitudes de sauvegarde.
Quand demander de l’aide rapidement
Si l’ordinateur contient des données professionnelles, des documents comptables, des dossiers clients, des photos de famille irremplaçables ou si plusieurs appareils sont touchés, il ne faut pas attendre. Plus l’intervention est rapide, plus il est possible de contenir la propagation et de préserver des éléments utiles à la récupération.
C’est particulièrement vrai pour les TPE, commerces, cabinets, locations saisonnières, associations et indépendants qui n’ont pas de service informatique interne. Dans ces situations, l’enjeu n’est pas seulement technique. Il s’agit aussi de reprendre l’activité vite, avec un diagnostic clair, un plan d’action concret et des coûts annoncés sans surprise. C’est précisément l’approche qu’un prestataire de proximité comme Assistance Informatique 360 doit apporter sur le terrain.
Les signes qu’il ne faut pas gérer seul
Si des sauvegardes ont disparu, si un serveur ou un NAS est touché, si plusieurs sessions utilisateurs sont compromises, si vous voyez des connexions suspectes ou si un message menace de publier des données, l’incident dépasse le simple nettoyage d’un PC. Même chose si l’attaque concerne un cabinet, un commerce ou une structure qui manipule des données sensibles.
Dans ce type de cas, chaque manipulation improvisée peut coûter du temps, des fichiers et parfois la possibilité d’identifier précisément ce qui s’est passé.
Reprendre sur de bonnes bases
Une fois l’urgence passée, le bon réflexe consiste à mettre en place une vraie stratégie de prévention. Cela passe par des sauvegardes automatiques testées régulièrement, dont au moins une copie isolée du réseau. Cela passe aussi par des mises à jour suivies, une protection de messagerie correcte, des comptes utilisateurs sans droits excessifs et un minimum de sensibilisation aux mails frauduleux.
Pour les particuliers, une sauvegarde simple et régulière suffit déjà à changer complètement l’issue d’un incident. Pour les professionnels, il faut aller plus loin avec un plan de continuité réaliste : qui fait quoi, quelles machines sont prioritaires, où sont les sauvegardes, combien de temps l’activité peut-elle rester bloquée.
Le plus rassurant après une attaque n’est pas de se dire qu’on a eu de la chance une fois. C’est de savoir que la prochaine panne, infection ou tentative d’intrusion trouvera un système mieux préparé, des données mieux protégées et une réponse beaucoup plus rapide.